Har postat detta på ett annat forum, men det vore intressant att höra vad ni tycker om det med.
Året har ju börjat med många attacker mot stora sidor. TV3, Aftonbladet, Bilddagboken, Efterfesten och Mecenat är väl de som fått lite extra uppmärksamhet. I minst två av fallen (Efterfesten och Mecenat) visade det sig att de hade lagrat lösenorden i klartext.
Sådant får mig att undra över varför lösenorden inte hashas (och saltas). Det rör sig ju inte precis om någon avancerad process...
För er som inte vet vad en "hash" är så är det helt enkelt en sorts enkelriktad "kryptering" (förenklat).
Det fick mig att börja undra hur webbhotell sköter sig. Personligen är jag kund hos både Loopia och Binero, så det blev helt enkelt dem jag kollade närmre på
Jag har sammanställt det hela lite mer i detalj i följande artikel: http://www.gate303.net/2008/01/28/loopia-brister-i-sin-hantering-av-losenord/
För att sammanfatta det hela kortfattat så verkar det som att Loopia ignorerar ifall man skriver lösenordet med stora eller små bokstäver, enbart a-z och 0-9 tillåts, man är begränsad i längd och dessutom verkar det som att de lagrar lösenordet i klartext eller med en kryptering som är reversibel (det går att dekryptera med andra ord).
Hos Binero skiljde inte inloggningssystemet på stora och små bokstäver, men i övrigt så kunde man ha vilka tecken man ville, jag hittade ingen längdbegränsning på lösenordet och det verkade också som att de hashar sina lösenord. Det sista bygger jag på hur deras "glömt lösenord"-funktion fungerar, den visar nämligen inte upp ens lösenord (som Loopias gör) utan genererar helt enkelt ett nytt åt en.
Jag mailade båda företagen och påtalade vilka brister de hade och skrev även att jag hoppades att de skulle fixa till svagheterna.
Binero återkom snabbt med ett trevligt svar och rättade till sin miss på direkten. Loopia tog längre tid på sig att svara och återkom med ett svar som mest liknade "Vi har tagit emot dina synpunkter".
Hur är det på de webbhotell ni använder er av? Är det vanligt att de inte gör skillnad på stora och små bokstäver i lösenorden? Får ni ha "specialtecken" (punkt, komma, utropstecken och så vidare)? När ni använder funktionen för "glömt lösenord", får ni då se ert lösenord eller genereras ett nytt åt er?
